Alerte de Sécurité OpenClaw : 500 000 instances publiques, la configuration par défaut expose les systèmes

✍️ OpenClawRadar📅 Publié: April 1, 2026🔗 Source
Alerte de Sécurité OpenClaw : 500 000 instances publiques, la configuration par défaut expose les systèmes
Ad

Détails de l'exposition de sécurité d'OpenClaw

Une analyse récente montre des risques de sécurité significatifs dans les installations d'OpenClaw accessibles publiquement. Selon des chercheurs en sécurité, il y a actuellement 500 000 instances d'OpenClaw sur l'internet public. Parmi celles-ci, 30 000 présentent des risques de sécurité connus, et 15 000 sont exploitables via des vulnérabilités connues.

Problèmes de configuration critiques

L'installation par défaut d'OpenClaw présente plusieurs lacunes de sécurité :

  • L'authentification est désactivée par défaut
  • La passerelle se lie à 0.0.0.0, rendant le système accessible depuis n'importe quel réseau
  • Aucun interrupteur d'arrêt d'urgence n'est inclus dans le système
  • Aucune console de gestion n'est fournie
  • Les données sont stockées dans des fichiers markdown en texte brut sans chiffrement

Cette configuration signifie que si vous avez installé OpenClaw sans configurer manuellement les paramètres de sécurité, toute votre configuration d'agent est exposée sur l'internet ouvert, accessible à n'importe qui.

Ad

Incidents de sécurité documentés

Plusieurs incidents de sécurité ont été documentés :

  • Un audit de sécurité a trouvé 341 compétences malveillantes sur ClawHub
  • 1,5 million de jetons API ont été exposés dans une fuite de base de données
  • Un développeur a trouvé 9 CVE lors de sa première semaine d'utilisation d'OpenClaw
  • L'instance OpenClaw d'un PDG britannique a été vendue sur BreachForums pour 25 000 $, donnant à l'acheteur l'accès aux e-mails, calendriers et fichiers

Action immédiate requise

Si vous avez installé OpenClaw, vérifiez immédiatement votre configuration :

  • Vérifiez que l'authentification est correctement configurée
  • Contrôlez vos liaisons réseau
  • Examinez la sécurité de vos clés API
  • Assurez-vous que votre installation n'est pas accessible publiquement sans mesures de sécurité appropriées

La technologie elle-même est performante, mais la configuration par défaut présente des passifs de sécurité significatifs qui nécessitent une attention immédiate.

📖 Read the full source: r/openclaw

Ad

👀 See Also

Serveur MCP : Cartographie de l'exposition aux CVE et API publique publiée
Security

Serveur MCP : Cartographie de l'exposition aux CVE et API publique publiée

Des chercheurs ont cartographié l'exposition aux CVE sur des milliers de serveurs MCP et ont créé une API publique pour interroger les vulnérabilités des dépendances. L'API permet de rechercher par dépôt/nom, de filtrer par gravité et de trier par nombre de CVE ou par actualité.

OpenClawRadar
ClawSecure : Plateforme de Sécurité pour l'Écosystème OpenClaw
Security

ClawSecure : Plateforme de Sécurité pour l'Écosystème OpenClaw

ClawSecure est une plateforme de sécurité conçue spécifiquement pour l'écosystème OpenClaw, proposant un protocole d'audit à 3 couches, une surveillance continue et une couverture des catégories OWASP ASI. Elle a audité plus de 3 000 compétences populaires et est disponible gratuitement sans inscription.

OpenClawRadar
OpenClaw a bloqué un script douteux d'un manuel de productivité, puis a continué à construire un classeur financier.
Security

OpenClaw a bloqué un script douteux d'un manuel de productivité, puis a continué à construire un classeur financier.

Un utilisateur a donné à OpenClaw un zip contenant un supposé guide de productivité suspect. OpenClaw a refusé d'exécuter le script, l'a signalé pour auto-installation dans le répertoire des compétences, et a construit manuellement le classeur en utilisant ses compétences intégrées.

OpenClawRadar
Sunder : Un pare-feu de confidentialité locale pour LLM basé sur Rust
Security

Sunder : Un pare-feu de confidentialité locale pour LLM basé sur Rust

Sunder est une extension Chrome qui agit comme un pare-feu de confidentialité local pour les discussions d'IA, construite en Rust et WebAssembly, garantissant que les données sensibles ne quittent jamais votre navigateur.

OpenClawRadar